Banken gaan slordig om met de beveiliging van hun internetdomeinen. Van de 64 onderzochte banken heeft maar 4 procent DNSSEC ingevoerd. Daarmee is de situatie bij banken volgens SIDN (Stichting Internet Domeinregistratie Nederland) sinds 2014 niet veranderd.
‘Als een kwaadwillende de DNS-informatie op de name-server, onderweg of bij de client verandert, dan kan hij die client naar een valse server sturen. Op die manier kunnen wachtwoorden en andere vertrouwelijke gegevens worden buitgemaakt, of geld en omzet worden gestolen’, schets SIDN de risico’s. De organisatie is dan ook verbaasd dat banken het twee-en-een-half jaar geleden ook al het slechtst van allemaal deden. ‘Ze zijn in de tussentijd ook absoluut stil blijven staan. Slechts een enkeling – ASN, ASR, DHB en Interbank – heeft zijn domeinnaam ondertekend, en dat is exact dezelfde situatie als in 2014.’
SIDN waarschuwt dat met het opdoeken van bankkantoren en het verminderen van het aantal pinautomaten de online voordeur van banken steeds belangrijker geworden is. ‘Bovendien hebben zij het meest van alle online bedrijven last van phishing.’
Volgens SIDN gebruikt anno 2017 46 procent van de .nl-domeinen DNSSEC. ‘Dat aandeel groeit nog steeds, al is de initiële snelle groei inmiddels wel afgevlakt. Daarmee hebben de voorlichting, trainingen, begeleiding bij implementatie, lobby, stimuleren van ‘portfolio signing’ en de incentive regeling van SIDN hun werk gedaan.’
Providers
Hoewel de globale stijging van het aandeel DNSSEC-ondertekende domeinnamen duidelijk is terug te zien in vrijwel alle gemeten categorieën, zijn er nog steeds grote verschillen. Overheden zitten inmiddels met een aandeel van 59 procent ondertekende domeinnamen in de top van de ranglijst. Dat is met name te danken aan de opname van DNSSEC in de ‘pas toe of leg uit’-lijst (ptolu) van het Forum Standaardisatie en de lancering van de Internet.nl portal waar internetgebruikers kunnen checken hoe het is gesteld met de beveiliging van een domein.
Naast banken doen ook mobiele telecom-aanbieders, access providers, service providers en ondernemingen die verantwoordelijk zijn voor de datatransport- backbone het opvallend slecht. Slechts een klein deel van deze bedrijven heeft zijn domeinnaam ondertekend.
Alleen de specialisten die het Nederlandse internet ontwikkelen en onderhouden scoren volgens SIDN met 64 procent hoger dan de overheid. De internet access providers (IAP’s) en internet service providers (ISP’s) zitten nu met respectievelijk 25% en 22% in de middenmoot.
DNSSEC
DNSSEC is een cryptografisch beveiligingssysteem voor DNS, de internet- adresgids die zorgt voor de vertaling van domeinnamen naar IP-adressen (en andersom). DNSSEC voorziet de DNS-informatie (de records) van een digitale handtekening, zodat de client (d.w.z. de resolver) kan controleren of de inhoud authentiek is.
DNSSEC is een voorwaarts compatibele uitbreiding van het DNS-protocol. Dat betekent dat resolvers en name servers zonder problemen met elkaar kunnen samenwerken, ongeacht of zij DNSSEC ondersteunen. Het beveiligingssysteem is echter alleen in werking als beide zijden DNSSEC ondersteunen. Daarvoor moet de betreffende domeinnaam ondertekend zijn (aan server-zijde) en moeten de digitale handtekeningen inderdaad geverifieerd worden (aan client-zijde). Alleen dan is de integriteit van de name server en het transport van de DNS-informatie beschermd.
Bron. SIDN